Kiristysohjelma lisää salattuihin tiedostoihin jonkin seuraavista päätteistä:
.aes_ni
.aes256
.aes_ni_0day

Jokaisessa kansiossa jossa on ainakin yksi salattu tiedosto, on seuraava tiedosto: "!!! READ THIS - IMPORTANT !!!.txt". Lisäksi kiristysohjelma luo avaintiedoston, jonka nimi on tämän kaltainen: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day C:\ProgramData-kansiossa.

Tiedostossa “!!! READ THIS - IMPORTANT !!!.txt” on seuraava kiristysviesti:

Salatuissa tiedostoissa on .Alcatraz-tiedostopääte.

Kun tiedostot on salattu, näytölle tulee tämän kaltainen viesti (se on käyttäjän työpöydällä ransomed.html-tiedostossa):

Apocalypse lisää seuraavia tiedostopäätteitä tiedostojen nimien perään: .encrypted, .FuckYourData, .locked, .Encryptedfile, tai .SecureCrypted. (esim. Gradu.doc = Gradu.doc.locked)

Kun tiedosto, jossa on jokin tiedostopäätteistä .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt tai .Where_my_files.txt (esim. Gradu.doc.How_To_Decrypt.txt) avataan, näytölle tulee versio tästä tekstistä:

Salatut tiedostot voidaan tunnistaa jommankumman seuraavan tiedostotunnisteen perusteella:
.ATOMSILO
.lockfile

Kussakin kansiossa on vähintään yksi salattu tiedosto sekä kiristysviestitiedosto nimeltä README-FILE-%ComputerName%-%Number%.hta tai LOCKFILE-README-%ComputerName%-%Number%.hta, esim.:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Kun Babuk salaa tiedoston, se lisää tiedostonimeen jonkin seuraavista päätteistä:
.babuk
.babyk
.doydo

Jokaisessa kansiossa, jossa on ainakin yksi salattu tiedosto, on tiedosto Help Restore Your Files.txt, jossa on seuraava sisältö:

BadBlock ei muuta tiedostojen nimiä.

Salattuaan tiedostot BadBlock näyttää jonkin näistä viesteistä (tiedostosta, jonka nimi on Help Decrypt.html):

Bart lisää tiedostopäätteen .bart.zip tiedostonimien perään. (esim. Gradu.doc = Gradu.docx.bart.zip) Nämä ovat salattuja ZIP-tiedostoja, jotka sisältävät alkuperäiset tiedostot.

Salattuaan tiedostot Bart tuo näytölle seuraavanlaisen kuvan. Kuvan tekstiä voi käyttää myös Bartin tunnistamiseen. Se on tallennettu tietokoneen työpöydälle tiedostonimillä recover.bmp ja recover.txt.

Kiristysohjelma lisää tiedostoihin seuraavia tiedostopäätteitä: .obfuscated

blaablaa.doc -> blaablaa.doc.obfuscated
asiakirja.dat -> asiakirja.dat.obfuscated
asiakirja.xls -> asiakirja.xls.obfuscated
blaablaa.bmp -> blaablaa.bmp.obfuscated

Kiristysohjelma luo jokaiseen kansioon myös tekstitiedoston, jonka nimi on "Read Me.txt". Tiedostossa on seuraava teksti.

Salattuihin tiedostoihin tulee seuraavia tiedostopäätteitä:
blaablaa.docx.[sql772@aol.com].theva
blaablaa.docx.[no.xop@protonmail.ch].cryptobyte
blaablaa.bmp.[no.btc@protonmail.ch].cryptowin
blaablaa.bmp.[no.btcw@protonmail.ch].btcware
blaablaa.docx.onyon

Lisäksi tietokoneelta löytyy jokaisesta tartunnan saaneesta kansiosta jokin seuraavista tiedostoista:
Key.dat on %USERPROFILE%\Desktop
1.bmp in %USERPROFILE%\AppData\Roaming
#_README_#.inf or !#_DECRYPT_#!.inf.

Kun tiedostot on salattu, työpöydän taustakuva muuttuu seuraavanlaiseksi:

Saatat myös saada nähtäväksesi seuraavan kiristysviestin:

Crypt888 lisää tekstin Lock. tiedostonimien alkuun. (esim.Gradu.doc = Lock.Gradu.doc)

Salattuaan tiedostot Crypt888 muuttaa työpöydän taustakuvan joksikin seuraavista:

Salatuissa tiedostoissa on seuraavia tiedostopäätteitä: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl tai .MOLE.

Tietokoneelta voi löytyä seuraavia tiedostoja tiedostojen salaamisen jälkeen:

Tiedostoissa on lukuisia tiedostopäätteitä, mm.:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Tiedostojen salaamisen jälkeen näytölle tulee jokin alla olevista viesteistä. Viesti on käyttäjän työpöydällä tiedostossa "Decryption instructions.txt", "Decryptions instructions.txt", "README.txt", "Readme to restore your files.txt" tai "HOW TO DECRYPT YOUR DATA.txt". Näytön taustakuvaksi muuttuu myös jokin seuraavista.

Kiristysohjelma lisää sanan ”encrypTile” tiedostonimeen:

blaablaa.doc -> blaablaa.docEncrypTile.doc

blaablaa3 -> blaablaa3EncrypTile

Kiristysohjelma luo käyttäjän työpöydälle neljä kuvaketta. Niiden nimet on lokalisoitu, tässä englanninkieliset versiot:

Kiristysohjelma estää aktiivisesti käyttäjää suorittamasta työkaluja, jotka voisivat poistaa sen. Lue blogista salauksen poistajan käyttöohjeet, jos tietokoneellasi on kiristysohjelma.

Salatuissa tiedostoissa on .crypt-tiedostopääte.

Kun tiedostot on salattu, työpöydälle luodaan useita tiedostoja, joiden nimenä on jotain näiden kaltaista: DECRYPT.txt, HOW_TO_DECRYPT.txt ja README.txt. Tiedostot ovat identtisiä, ja niissä on seuraava viesti:

Erityistä: Koska AVASTin salauksen poistajat ovat Windows-sovelluksia, on Maciin asennettava emulaattori (WINE, CrossOver). Lisätietoja blogissamme.

Salatuissa tiedostoissa on jokin seuraavista tiedostopäätteistä:
.FONIX,
.XINOF

Kun kiristysohjelma on salannut uhrin koneella olevat tiedostot, esiin tulee seuraava näyttö:

Kiristysohjelma lisää useita erilaisia tiedostopäätteitä, kuten:
.GDCB,
.CRAB,
.KRAB,
.%SatunnaisiaKirjaimia%
blaablaa.doc -> blaablaa.doc.GDCB
asiakirja.dat -> asiakirja.dat.CRAB
asiakirja.xls -> asiakirja.xls.KRAB
blaablaa.bmp -> blaablaa.bmp.gcnbo (kirjaimet ovat satunnaisia)

Kiristysohjelma luo jokaiseen kansioon myös tekstitiedoston nimeltä ”GDCB-DECRYPT.txt”, ”CRAB-DECRYPT.txt”, ”KRAB_DECRYPT.txt”, ”%SatunnaisiaKirjaimia%-DECRYPT.txt” tai ”%SatunnaisiaKirjaimia%-MANUAL.txt”. Tiedostossa on seuraava teksti.

Kiristysohjelman uudemmat versiot voivat myös asettaa työpöydälle seuraavan kuvan:

Globe lisää jonkin seuraavista tiedostopäätteistä tiedoston nimen perään: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]", or ".hnyear". Lisäksi jotkin sen versioista salaavat myös tiedostonimen.

Salattuaan tiedostot ohjelma näyttää tämän kaltaisen viestin (joka sijaitsee tiedostossa How to restore files.hta tai Read Me Please.hta):

Salatut tiedostot tunnistaa tiedostopäätteestä [vote2024forjb@protonmail.com].encryptedJB. Käyttäjän työpöydälle pudotetaan myös read_me.html-niminen tiedosto (katso kuva alla).

Salatuissa tiedostoissa voi olla seuraavia tiedostopäätteitä (mutta näihin rajoittumatta): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Kun tiedostot on salattu, työpöydälle tulee seuraava tekstitiedosto: (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Eri versiot voivat näyttää myös seuraavia viestejä:

Salatuissa tiedostoissa on seuraavia tiedostopäätteitä: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org, or .gefickt.

Kun tiedostot on salattu, näytölle tulee jokin seuraavista viesteistä:

Kiristysohjelma lisää tiedostopäätteen “.MyChemicalRomance4EVER” tiedostojen nimen perään:
blaablaa.doc -> blaablaa.doc.MyChemicalRomance4EVER
asiakirja.dat -> asiakirja.dat.MyChemicalRomance4EVER

Kiristysohjelma luo käyttäjän työpöydälle tekstitiedoston nimeltä "UNLOCK_guiDE.txt". Tiedostossa on seuraava teksti.

Legion lisää tiedostojen nimen perään päätteen ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion tai .$centurion_legion@aol.com$.cbf . (esim. Gradu.doc = Gradu.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Salattuaan tiedostot Legion vaihtaa työpöydän taustakuvan ja näyttää seuraavanlaisen ponnahdusviestin:

NoobCrypt ei muuta tiedostonimiä. Salattuja tiedostoja ei kuitenkaan voida avata niihin liitetyillä sovelluksilla.

Kun tiedostot on salattu, näytölle tulee tämän kaltainen viesti (se on käyttäjän työpöydällä ransomed.html-tiedostossa):

Salatut tiedostot voidaan tunnistaa näiden tiedostopäätteiden perusteella:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

Lisäksi käyttäjän työpöydälle pudotetaan tekstitiedosto, jonka nimi on jokin seuraavista:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Salatut tiedostot voidaan tunnistaa näiden tiedostotunnisteiden perusteella:
.mallox
.exploit
.architek
.brg
.carone

Kussakin vähintään yhden salatun tiedoston sisältävässä kansiossa on myös kiristysviestitiedosto nimeltä RECOVERY INFORMATION.txt (katso alla olevaa kuvaa).

Stampado lisää salattuihin tiedostoihin tiedostopäätteen .locked. Jotkut versiot voivat myös salata tiedostonimet. Silloin salatun tiedoston nimi voi olla asiakirja.docx.locked tai 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Kun tiedostot on salattu, näytölle tulee seuraava viesti:

SZFLocker lisää tiedostopäätteen .szf tiedostonimien perään. (esim. Gradu.doc = Gradu.doc.szf)

Kun yrität avata salattua tiedostoa, SZFLocker näyttää seuraavan viestin (puolaksi):

TeslaCryptin viimeisin versio ei nimeä tiedostoja uudelleen.

Salattuaan tiedostot TeslaCrypt näyttää jonkin muunnelman seuraavasta viestistä:

Salatuissa tiedostoissa on jokin seuraavista tiedostopäätteistä:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Kun tiedostot on salattu, käyttäjän työpöydälle luodaan useita tiedostoja, joiden nimi on README1.txt–README10.txt. Ne ovat eri kielillä ja sisältävät seuraavan tekstin:

Lisäksi käyttäjän työpöydän taustakuvaa muutetaan, ja se näyttää seuraavanlaiselta:

Kiristysohjelma liittää salattuihin tiedostoihin tiedostopäätteen ".~xdata~".

Jokaisessa kansiossa, jossa on ainakin yksi salattu tiedosto, on lisäksi tiedosto nimeltä "HOW_CAN_I_DECRYPT_MY_FILES.txt". Lisäksi kiristysohjelma luo avaintiedoston, jonka nimi on tämän kaltainen:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~. Löydät sen seuraavista kansioista:

• C:\

• C:\ProgramData

• Työpöytä

Tiedostossa ”HOW_CAN_I_DECRYPT_MY_FILES.txt” on seuraava kiristysviesti: